COI:Bogged Finance攻击事件分析

据官方tg群消息，北京时间5月22日晚BoggedFinance项目遭遇闪电贷攻击，随后BOG代币价格断崖式下跌。

知道创宇区块链

安全

实验室

第一时间跟进分析本次安全事件。

以造成本次闪电贷攻击的其中一笔交易为例，对应具体交易hash如下：0x47a355743456714d9abc23e1dff9e26430e38e84cc8b8e0a0b4ca475918f3475

Coinbase将在未来几个月内逐步关闭贷款业务Coinbase Borrow:金色财经报道，一位Coinbase发言人对CoinDesk表示，Coinbase将在未来几个月内逐步关闭贷款业务Coinbase Borrow，因为该公司将资源集中在客户最关心的产品上。Coinbase Borrow是一个允许客户以其持有的比特币获得最多100万美元法定贷款的计划，通过该计划持有贷款的客户必须在2023年11月20日之前偿还任何未偿还的贷款余额。

Coinbase曾在5月份宣布，作为重新评估其产品的常规流程的一部分，不再允许向Coinbase Borrow客户发放新贷款。[2023/7/21 11:08:20]

黑客地址0x4622A1f3d05DcF5A0589c458136C231009B6A207通过攻击合约0xe576790f35A8cC854d45b9079259Fe84F5294e07进行闪电贷攻击，通过调用攻击合约中攻击函数，传入参数15000000000000000000000，通过BankController合约进行闪电借贷15000BNB，通过WBNB合约兑换后开始进行套利攻击。

Sui基金会与Immunefi合作开展Bug Bounty赏金计划:4月21日消息，Sui基金会宣布与Immunefi合作开展BugBounty赏金计划，旨在激励白帽黑客发现有效的漏洞与问题，从而帮助维护平台的安全与稳定。

漏洞影响范围分为低级、中级、高级、最高级四个等级，提交所有的漏洞报告时，必须附带相关证明，说明该漏洞是在运行测试网还是主网时发现，以及最终影响的资产范围。满足这些条件才能被视为有效并参与奖励瓜分。[2023/4/21 14:17:23]

本次闪电贷攻击主要是由于BoggedFinance合约中_transferFrom函数中利用_txBurn函数出现逻辑漏洞，代币合约对所有交易应当收取5%的交易额作为交易费用来销毁，其中4%分红给lp提供者，1%被烧毁，但在_transferFrom函数中未校验转账地址，允许向自己转账，在自我转账的过程中，仅扣除1%手续费，而包括攻击者在内的lp提供者获得4%的分红奖励，所以攻击者可以通过添加大量流动性进行流动性挖矿，并且反复自我转账获利，最终移除流动性从而完成攻击过程。

优盾钱包CMO孟春东：优盾钱包将于11月推出多签钱包（UDUN BOSS）:据官方渠道消息，近日优盾钱包CMO孟春东对外表示，优盾钱包将于11月推出多签钱包（UDUN BOSS）

。优盾多签钱包将实现：

? 资产协同管理，更安全：大额资产可使用多签钱包进行多成员共同管理，转账交易需要参与管理的成员全部同意，大幅提升钱包资产安全。

? 钱包消息实时提醒：随时随地接收钱包动态消息，多签邀请、交易签名、资产变动消息实时提醒。

? 15位加强版助记词，安全升级：多签钱包采用15位加强版助记词，防破解更安全。

? 全币种支持：支持100+全球主流资产多签模式，BTC、ETH、EOS、BSV、DOT、USDT(OMNI/ERC20/TRC20)等。

? 操作便捷：一键创建钱包邀请多签成员，交易发送签名一气呵成，界面简洁，操作简单。[2020/10/20]

通过查看浏览器交易显示，攻击者在该笔交易中分4次将1298.20BNB、1489.05BNB、1707.95BNB、1959.03BNB在PancakeSwap中兑换为47770BOG，并用共计8434.07BNB和281174.22BOG在PancakeSwap的BNB-BOG池中添加流动性

如下图所示，攻击者在该笔交易中通过以下5笔交易将如下所示数量的WBNB与BOG添加流动性并将所获得的流动性代币进行抵押挖矿。

图1添加流动性并进行你抵押挖矿为多次转账准备

随后，攻击者通过攻击合约多次进行自我转账，进行获利。

图2反复自我转账

最后，攻击者通过Nerve

跨链

桥将它们分批次转换为

ETH

进行套现后移除流动性，返还闪电贷完成本次攻击。

图3移除流动性

图4返还闪电贷

在攻击发生后，项目社区内疑似管理员身份发布了相关通知，且现合约中已关停相关手续费收取功能，对应的_burnRate被设置为0，不存在套利空间。

图5社群通知

图6关闭手续费收取功能

最近BSC链上接连发生闪电贷攻击事件，随着链上

DeFi

生态的飞速发展，攻击事件频频爆发。高级复杂的闪电贷攻击手法，已经在以太坊生态中上演过很多次。可见，随着其他链上DeFi生态的发展，攻击者已逐渐将攻击目标扩大到其他链的DeFi生态，DeFi安全问题也越来越需要被重视。

郑重声明： 本文版权归原作者所有， 转载文章仅为传播更多信息之目的， 如作者信息标记有误， 请第一时间联系我们修改或删除， 多谢。